2.3.2 网络空间杀伤链的欺骗
本文讲的是网络空间欺骗:构筑欺骗防御的科学基石一2.3.2 网络空间杀伤链的欺骗,网络空间杀伤链是洛克希德·马丁公司的研究人员倡导的智能驱动安全模型[32]。这个模型的主要前提是攻击者要想成功,则需要通过链中所有步骤。破坏杀伤链中的任何步骤都会破坏攻击,越早破坏攻击就越好地阻止了攻击者攻击我们的系统。
网络空间杀伤链模型是一个很好的证明多级欺骗有效性的框架。使用与网络空间杀伤链相同的基本原则——尽早发现敌人——我们认为,越早检测到恶意敌手,就可更好地欺骗他们,并了解他们的方法和技术。假设没有一系列的欺骗技术,则不可能收集到全部的情报信息。
而且,更好地了解敌人,才可以更好地防御他们。通过使用欺骗手段,可以不断了解不同级别的杀伤链攻击者,提高检测到他们的能力,并降低敌手攻击的能力。这种负相关关系是检测攻击者和其探测防御的资源之间的一个有趣关系。
显然,当攻击者攻击我们的系统时,我们希望至少比他们快一步。我们认为,这可以通过智能结合的欺骗方法,在安全模型中实现。因为越是进一步提高检测恶意敌手的能力,就越能进一步领先于他们。以外部网络探测为例,如果简单检测一次攻击,并确定一组IP地址和域名是“有问题”的,那么我们并没实现什么:这些可以很容易变化,而且恶意敌手会变得更加小心,在他们下次探测我们的系统时便不触发一个警报。然而,更进一步,如果我们能根据那些很难改变的攻击因素进行攻击溯源,那将使得敌手再发起攻击变得更加困难。例如,如果能够通过允许获得更多的根据固定属性(如不同的协议头、已知的工具和/或行为和特征)来区分攻击者的信息来欺骗攻击者,我们将会处在一个更有利的防御位置。攻击者现在不太清楚我们是如何检测到他们的,当他们知道时,更改这些属性将会更加困难。
网络空间杀伤链的部署被视为是富有成效的,Lockheed能够探测到使用SecurID攻击成功入侵他们系统中的攻击者[33]。我们采用并对这个模型进行了改进,以更好地反映欺骗情况的不同。
许多的欺骗技术,如蜜罐,隔离工作区并独立于当前信息系统的其他部分。这样的设计决策在一定程度上是由与蜜罐有关的安全风险驱动的。我们认为,智能防御与欺骗防御技术的相互作用可以显著提高系统安全性,并带来实现深度检测的能力。如果检测表2.1,可以看到我们能将欺骗应用在网络空间杀伤链的每一个阶段,这使得我们能够打破杀伤链并尽量将攻击归为不同的属性。在侦察阶段,可以通过创建一个网站来诱导敌人,并模仿现实环境的蜜罐活动。例如,一个组织可以订阅一些云服务供应商,当监测任何外部利益信号是活动的时候,蜜罐会变为活动的。另一个例子是解决鱼叉式网络钓鱼的问题,欺骗技术会创建许多虚拟用户,并将他们的信息传播到互联网上,同时监测他们的联系方式来检测任何探测活动,一些商业安全公司目前就是做这个的。
原文标题:网络空间欺骗:构筑欺骗防御的科学基石一2.3.2 网络空间杀伤链的欺骗
